## この記事でわかること - エックスサーバー(Xserver)の DKIM 自動設定機能の位置づけと、利用するときの注意点 - SPF と DMARC は別途 DNS に追加が必要な理由 - 既定の SPF と外部サービスの SPF が衝突したときの整理方法と検証手段 ## Xserver で混乱しやすいポイント エックスサーバーは国内で広く使われており、送信者要件強化を機に「Xserver はメール認証をどこまで自動でやってくれるか」という相談が増えました。 最初に押さえるべきは、Xserver で **DKIM は自動設定がサポートされている**([エックスサーバー公式マニュアル](https://www.xserver.ne.jp/manual/)で確認可能)一方、**SPF と DMARC は DNS への手動追加が必要**という 2 点です。「DKIM 自動 = 認証完了」と早合点すると、SPF や DMARC が空のままで Gmail から弾かれる事故につながります。 ![Xserver:DKIM 自動と SPF/DMARC 手動の関係](/blog/xserver-email-auth-setup/xserver-overview.svg) ## パターン A: Xserver をメールサーバーとして使う場合 Xserver で作成したメールアドレス(info@example.com 等)を送信元として使い、DNS も Xserver で管理するケースです。 ### DKIM は自動設定機能を活用する DKIM(ディーキム:電子署名による改ざん検知)は、Xserver のサーバーパネル側で「DKIM 設定を有効化する」スイッチが用意されています。有効化すると秘密鍵を Xserver 側で保管し、`<セレクタ>._domainkey.<ドメイン>` の TXT を DNS に自動追加します。 - **type**: TXT - **name**: `<セレクタ>._domainkey`(Xserver が発行する値) - **value**: `v=DKIM1; k=rsa; p=<公開鍵>` セレクタ名と公開鍵の発行は Xserver 側で行われるため、利用者が手で値を入れる必要はありません。**最新の操作手順と DKIM 自動設定の対象プランは、[エックスサーバーの公式マニュアル](https://www.xserver.ne.jp/manual/)で必ずご確認ください**。 注意点として、Xserver の DKIM 自動設定は「Xserver から送信されたメール」にしか署名できません。Google Workspace や Resend から送るメールには、サービス側が発行する別セレクタの DKIM を別途追加します。**DKIM はセレクタが違えば複数並べて構いません**。 ### SPF レコードは手動で追加する SPF(エスピーエフ:送信元 IP の許可リスト)は、ドメインの apex に TXT レコードとして 1 件だけ追加します。 - **type**: TXT - **name**: `@`(apex) - **value の方針**: `v=spf1` で始め、Xserver 公式マニュアルが提示する include 文字列(Xserver のメール送信を許可するもの)を入れ、最後を `~all` または `-all` で締める 外部サービスを併用する場合は、それぞれの include を 1 行に並べます。**SPF は 1 ドメインに 1 件のみ**で、TXT を 2 行作ると認証が崩れます。SPF の DNS lookup を要するメカニズム(include / a / mx / exists / redirect など)の合計が 10 個を超えると Permerror になります(RFC 7208 §4.6.4)。 ### DMARC は段階的に追加する DMARC(ディーマーク:SPF・DKIM の結果をどう扱うかのポリシー)は、`_dmarc.<ドメイン>` の TXT レコードとして手動で追加します。 - **type**: TXT - **name**: `_dmarc` - **value の方針**: `v=DMARC1; p=none; rua=mailto:dmarc@example.com` から始める `p=none` で 2〜4 週間レポートを観察してから、`quarantine` → `reject` と段階的に強化します。レポートの読み方は[DMARC 設定ガイド](/blog/dmarc-setup-guide)で詳しく扱っています。 ## パターン B: DNS だけ Xserver、メールは別サービス 「サイトは Xserver、メールは Google Workspace / SendGrid」のような構成です。Xserver の DKIM 自動設定はオフで構いません(Xserver から送らないので署名する対象がない)。 ### 既定 SPF と外部サービス SPF の衝突に注意 Xserver でドメインを追加した時点で、既定の SPF が apex に入っている場合があります。この状態で Google の `include:_spf.google.com` を「もう 1 件の TXT」として追加すると、SPF レコードが複数行存在し、**全体が Permerror で無効化**されます。 ![既定 SPF と外部 SPF の衝突パターン](/blog/xserver-email-auth-setup/spf-conflict.svg) 正しい対応は次のいずれかです。 1. 既定 SPF と外部サービスの include を 1 行の TXT に統合する 2. Xserver からメールを送らないなら、既定 SPF を削除して外部サービスの SPF だけを残す DKIM も外部サービス指定のセレクタを Xserver の DNS 画面で TXT または CNAME として追加します。CNAME 方式に対応するサービスを使えば、送信側が鍵をローテーションしたときに自動追従できます。 ## 設定後の検証方法 DNS の反映には伝搬時間がかかります。次のいずれかで確認します。 - **dig**: `dig TXT example.com` / `dig TXT _dmarc.example.com` / `dig TXT ._domainkey.example.com` - **mxtoolbox** の SPF / DKIM / DMARC チェッカー - ドメイン番人の[無料ドメイン診断](/diagnose)で一括チェック 最終確認として、送ったメールを Gmail / Outlook で受信し「メッセージのソースを表示」で `Authentication-Results` ヘッダの `spf=pass`・`dkim=pass`・`dmarc=pass` を確かめます。3 つすべて pass で認証完了です。 他社ホスティング併用時は、さくら向けの[さくらインターネットの SPF/DKIM/DMARC 設定の進め方](/blog/sakura-email-auth-setup)や、基礎の[DKIM 検証の仕組み](/blog/dkim-verification)も参考になります。 ### まとめ - Xserver は DKIM 自動設定が使える。SPF と DMARC は手動追加が必要 - DKIM 自動は「Xserver から送るメール」のみが対象。外部送信は別セレクタが必要 - DNS だけ Xserver の構成では、既定 SPF と外部 SPF を 1 行に統合して衝突を回避 - セレクタや include 文字列は推測せず、最新の公式マニュアルの値を使う ## 自社の状況を確認してみませんか 設定状況がわからない方は、無料の[ドメイン診断](/diagnose)で現状をチェックできます。 DMARC・SPF・DKIM・SSL の状態が数十秒でレポートされます。 判断に迷う場合は[お問い合わせ](/contact)からご相談ください。専門家がわかりやすくサポートいたします。 SSL 証明書、Web セキュリティヘッダ、サブドメイン棚卸しの単発チェックも合わせて [無料ツール一覧](/tools) にまとめています。